本文讲的是Windows容器网络,【编者的话】下面请允许我激动的介绍Windows容器以及微软和Docker的合作。我们团队投入大量资源研发出Windows Server Technical Preview 5容器网络堆栈,除借鉴Docker的管理经验外,还研发出Windows容器特有的功能和特性。本文将围绕Windows容器的网络堆栈,讲述如何使用Docker让容器网络连通,以及微软如何使容器成为基于Microsoft Azure Stack所构建的现代数据中心的一阶对象。。
简介
Windows容器可应用在不同类型的应用场景下,从运行Node.js的Web服务器到数据库,再到视频流。这些应用都需要通过网络连接实现服务发布。那么Windows容器的网络堆栈是什么样子的呢?如何为一个容器分配IP地址或将容器Endpoint连接到网络?以及如何设置最大网络带宽和ACL规则等网络高级策略呢?
下面通过这张容器网络堆栈图(图1)帮助我们加深理解。
图1 Windows容器网络堆栈
所有运行容器的宿主机可以是一台物理服务器、一个Windows客户端、或者一台虚拟机。假如容器宿主已经通过一张NIC卡接入WiFi或以太网实现了网络连接,并需将网络连接扩展到容器自身。容器宿主可使用Hyper-V虚拟交换机实现宿主机到容器的连接,并通过Host vNIC(Windows服务器容器)或Synthetic VM NIC (Hyper-V 容器)两种方式实现容器到vSwitch之间的连接。相比于此,Linux容器技术使用bridge设备而非Hyper-V虚拟交换机,使用veth 偶对而非 vNICs / vmNICs来提供容器间的基础2层(以太网)连接。
Hyper-V虚拟交换机本身并不允许外网访问运行在容器内的网络服务。我们需要3层(IP)连接性来确保数据包能正确路由到目的地。除IP外还需支持更高层的网络协议,如TCP和UDP协议,通过特定端口号寻址到容器中运行的服务(例如,TCP端口80通常用来访问WEB服务)。为了让容器更有用,还需在容器中提供4~7层服务,如DNS、DHCP、 HTTP、SMB等。所有以上特性均会在Windows容器网络中得到支持。
Docker网络配置和管理堆栈
Windows Server Technical Preview 5 (TP5) 提供了通过Docker客户端及Dockers引擎RESTful API接口两种方式安装容器网络。网络配置根据设置的范围,既可在容器网络创建时配置也可在容器创建时配置。相关MDSN文章可提供更详细的信息。
Windows容器网络管理堆栈使用Docker作为管理入口,并将 Windows宿主网络服务( Host Network Service ,HNS)作为服务层,用来创建下层网络(如,vSwitch,WinNAT等)中的“管道”。Docker引擎通过一个网络插件(libnetwork)实现同HNS的通信。请参考图2了解管理堆栈。
图2 管理堆栈
管理堆栈使Docker网络通过HNS实现同Windows网络层的插件式对接。因为创建过程的自动化,用户无需自己设置静态端口映射或防火墙策略(如NAT转换)。
举例:通过Docker创建静态端口映射
注意:NetNatStaticMapping (及防火墙策略)都将自创创建
网络模式
Windows容器的网络连接有四种不同的网络模式(或驱动)。不同模式的选择取决于容器如何被外网客户端访问,IP地址如何分配,网络策略如何执行等因素。
每种网络模式都将使用内部或外部虚拟交换机(由HNS自动创建)来打通容器到容器宿主的物理(或虚拟)网络。下面就四种模式以下给出使用建议。关于每种模式的详细信息请到MDSN文章中查找。
- NAT –默认模式,连接容器到私有IP子网,此模式可方便快捷的应用到任何环境;
- Transparent –此模式不经过任何网络转换,直接连接容器到物理网络。当一台宿主机上运行过多容器时,请小心使用此模式,可能会快速导致物理网络问题;
- L2 Bridge / L2 Tunnel –这两种模式通常用在公有云或私有云环境中,以租用虚拟机运行容器的场景下。
注: Windows Server 2016 或者Windows 10 客户端不再支持NAT 虚拟交换模式创建。NAT容器网络可通过在Docker中设定nat驱动或者在PowerShell环境下运行NAT模式来创建。
举例:创建Docker ‘NAT’网络
请注意虚拟交换和NetNat如何被自动创建。
容器网络+软件定义网络(SDN)
容器逐步成为数据中心和企业的一阶实体,同虚拟机相提并论。而IaaS云租户或企业业务部门需要同时支持虚拟网卡和容器Endpoint两种模式下,程序化地定义网络策略(如ACLs、QoS、负载均衡等)。Windows Server 2016 版本的软件定义的网络(SDN)堆栈支持客户在Windows Network Controller使用PowerShell 脚本、SCVMM或微软 Azure Stack新出的Azure Portal 为容器Endpoint 定义网络策略。
在虚拟化环境下,容器宿主可以是一台物理服务器上的虚拟机。Network Controller通过标准的SouthBound 通道(如OVSDB)发送策略给运行在物理服务器上的宿主Agent,宿主Agent将策略传入物理服务器的vSwitch的VFP进行执行。由于网络策略是特定于具体某个IP地址(如,容器Endpoint)的,当多个容器Endpoint被连接到同一张容器宿主网卡时,网络策略仍然可以被细粒度地定义。
L2 Tunnel 网络模式下,所有容器宿主虚拟机的网络流量都将通过物理服务器的vSwitch收发,vSwitch 上的VFP转发扩展将会执行从Network Controller 以及Azure Stack中的高层组件(如Network Resource Provider、Azure Resource Manager、Azure Portal)接收到的网络策略。堆栈架构请参考图3。
图3 容器实现同SDN叠加虚拟网的连接
这样容器可以加入由独立云租户创建的叠加虚拟网(如,VxLAN),实现跨节点集群内的通信以及同其他虚拟机的通信,还可以接收网络策略。
美好未来
未来我们不仅会在Windows操作系统上不断创新,更会贡献更多的代码到GitHub的Docker 开源项目上。我们希望Windows的容器使用者可以使用到更加丰富的网络策略,并通过容器客户端来创建网络策略。我们也希望将网络策略的执行尽可能的更靠近容器Endpoint,来缩减数据路径,提升网络吞吐,降低网络时延。
原文链接:Windows Container Network(翻译:Chilly,审校:滕启明)
原文发布时间为:2016-05-16
本文作者:chilly_2016
本文来自合作伙伴DockerOne,了解相关信息可以关注DockerOne。
原文标题:Windows容器网络